当前位置:文档之家 › 网络安全等级保护定级报告

网络安全等级保护定级报告

  • 格式:docx
  • 大小:28.59 KB
  • 文档页数:10

下载文档原格式

  / 10
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

网络安全等级保护定级报告

(模版)

1、XXX网络描述(此处的名称必须与《备案表2-网络情况》第1项-网络名称保持完全一致)

从4个方面进行说明:

1.1描述承担网络安全责任的相关单位或部门

标准表述:承担该网络安全责任的单位是xx市XX局(责任主体必须统一写成xx市级的委办局,否则不予备案),xx市XX局对该网络具有信息安全保护责任,该网络为xx市XX局的定级对象。

1.2描述网络的基本要素、网络结构和网络边界

1.2.1画出网络拓扑图

注意:不是整个机房的网络拓扑图,而是定级对象的网络拓扑图。

1.2.2结合网络拓扑图,描述网络拓扑结构

1.2.2.1将整个网络划分成若干个域,每个域分别命名;

1.2.2.2每个域单独成一段,描述域内的设备连接情况;

注意:给出的不应是设备列表,而是要阐述说明设备之间如何进行连接。

1.2.2.3描述域与域之间的连接情况;

1.2.2.4描述整个网络与外部网络的连接情况,并指定整个网络的边界设备;

1.2.2.5规模较小的网络;

规模较小的网络可以不分域,直接说明组成网络的物理设备是如何连接的,以及网络的边界设备是哪些。

1.2.2.6设备名称;

以上描述,凡是涉及到设备名称的地方,要使用设备厂商+设备型号/规格的命名方式来指定设备,不可使用服务器、防火墙、路由器、IDS等通用名称指代设备,以免混淆;

1.3网络业务情况描述

说明该网络是否承载着单一或相对独立的业务,应尽量具体的说明网络承载了哪些主要业务,而不应仅仅使用查询、审批、登记、展示等通用性功能术语,泛泛而谈。

1.4网络涉密情况说明

标准表述:XXX所处理的业务信息不涉及国家秘密。

2、XXX网络安全保护等级确定(定级方法参见国家标准《网络安全等级保护定级指南》)

2.1业务信息安全保护等级的确定

2.1.1业务信息描述

此部分应包含:①说明网络处理的主要业务信息;②说明主要业务信息中哪些属于关键信息;③分类说明各关键信息的保密性、完整性、可用性(能有程度说明最好)。如:XX信息属于个人/单位信息,比较敏感,保密性要求高;YY信息是行业管理的重要数据,完整性要求非常高;ZZ信息是需要实时提供给服务对象的,可用性要求高。

2.1.2业务信息受到破坏时所侵害客体的确定

说明业务信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公共利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。

侵害国家安全的事项包括以下方面:

➢影响国家政权稳固和领土主权、海洋权益完整;

➢影响国家统一、民族团结和社会安定;

➢影响国家社会主义市场经济秩序和文化实力;

➢其他影响国家安全的事项。

侵害社会秩序的事项包括以下方面:

➢影响国家机关、企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序;

➢影响公共场所的活动秩序、公共交通秩序;

➢影响人民群众的生活秩序;

➢其他影响社会秩序的事项。

影响公共利益的事项包括以下方面:

➢影响社会成员使用公共设施;

➢影响社会成员获取公开数据资源;

➢影响社会成员接受公共服务等方面;

➢其他影响公共利益的事项。

侵害公民、法人和其他组织的合法权益是指受法律保护的公民、法人和其他组织所享有的社会权利和利益等受到损害。

应从各个关键业务信息的直接使用者和间接服务对象等不同角度,详细说明关键业务信息受到破坏时所侵害的客体,如果某个关键业务信息的直接使用者和间接服务对象不是属于同一层面的客体,则应分别加以说明。

标准表述:XX信息的直接使用者是XXX单位/机关/团体,间接服务对象是某一类社会公众(全市中小学教师、医疗从业人员、残疾人等等),所以,当XX信息受到破坏时所侵害的客体既包括公民、法人和其他组织的合法权益,也包括社会秩序和公共利益。

2.1.3业务信息受到破坏后对侵害客体的侵害程度的确定

说明业务信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。

一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低

的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。

严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。

特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成特别严重损害。

应描述业务信息被破坏时,对客体的侵害表现及其后果(应展开较为具体的论述,适当时可以举例,以支持侵害程度的结论),然后再得出侵害程度的结论。如侵害客体有多个,则应分别描述对每个侵害客体的侵害表现及其后果,再得出侵害程度的结论,最后再利用矩阵表得出该网络总的业务信息安全保护等级。

2.1.4业务信息安全等级的确定

依据业务信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全保护等级。

表1 业务信息安全保护等级矩阵表

标准表述:网络的业务信息受到破坏时,所侵害的客体一是社会秩序和公共利益,侵害程度为XX损害;客体二是公民、法人和其他组织的合法权益,侵害程度为XX 损害。根据表1,确定该网络的业务信息安全保护等级为第N级。

2.2系统服务安全保护等级的确定

2.2.1系统服务描述

此部分应包含:①说明网络提供的主要服务;②说明主要服务中哪些属于关键系统服务;③分类说明各关键系统服务的可用性要求。可用性要求既可以是定性的描述[高/较高/一般/低],也可以是定量的描述,如:全年中断时间的要求、每次中断后恢复所需的时间要求等等。

2.2.2系统服务受到破坏时所侵害客体的确定

说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公共利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。

相关主题